Đó là những tùy chọn: IP Allow List: Cho phép có thể cấu hình bộ địa chỉ IP để các thư luôn được chấp nhận từ đó.. Lưu ý rằng trong hộp thoại Blocked IP Address – IP Range bạn có th
Trang 1Cài đặt, cấu hình giải pháp xử lý email trên TMG 2010
Firewall – Phần 3
Trang 2Trong phần này chúng tôi sẽ giới thiệu những gì bạn có khi thực hiện cấu hình các tính năng chống spam (anti-spam) trên TMG 2010
Thêm vào đó chúng ta cũng đã kích hoạt các thành phần Forefront
Protection for Exchange và Exchange Edge để cho phép bảo vệ anti-spam và anti-virus Trong phần ba này, chúng tôi sẽ giới thiệu cho các bạn những gì
có khi thực hiện cấu hình các tính năng chống spam (anti-spam) trên TMG
2010 firewall
Cấu hình lọc spam (Spam Filtering)
Tab Spam Filtering trong panel giữa của giao diện điều khiển Ở đây bạn có thể thấy bộ sưu tập các tùy chọn cho việc cấu hình Spam Filters Đó là
những tùy chọn:
IP Allow List: Cho phép có thể cấu hình bộ địa chỉ IP để các thư luôn
được chấp nhận từ đó
IP Allow List Providers: Cho phép cấu hình địa chỉ của một hoặc
nhiều nhà cung cấp IP Allow List
IP Block List: Cho phép cấu hình một danh sách các địa chỉ mà bạn
không bao giờ nhận mail từ chúng
Content Filtering: Cho phép chặn email dựa trên nội dung của thư
Trang 3 Recipient Filtering: Cho phép điều khiển sự phân phối email dựa
trên người nhận
Sender Filtering: Cho phép điều khiển sự phân phát email dựa trên
người gửi
Sender ID: Điều khiển cho phép hoặc từ chối email dựa trên sự có
mặt của bản ghi Sender ID
Sender Reputation: Cho phép bạn cho phép hoặc từ chối mail dựa
trên tên của người gửi
Sau đây chúng ta hãy bắt đầu bằng cách kích tùy chọn IP Allow List
Hình 1
IP Allow List
Trong hộp thoại IP Allow List, kích tab Allowed Addresses Ở đây bạn có
thể add một địa chỉ, một dải địa chỉ mà bạn muốn nhận thư từ chúng
Trang 4Hình 2
IP Allow List Providers
Kích tùy chọn IP Allow List Providers ở panel giữa của giao diện điều khiển Trong hộp thoại IP Allow List Providers, kích tab Providers Ở đây
bạn có thể cấu hình một danh sách các nhà cung cấp được phép IP Allow
List Providers Kích nút Add để thêm một entry mới Nếu muốn nhập vào
một địa chỉ nào đó, bạn chỉ cần nhập vào cùng một địa chỉ trong các trường
Start và End
Trang 5Hình 3
Trong hộp thoại IP List Provider, bạn có thể nhập vào các thông tin dưới
đây:
Provider name Nhập vào tên của nhà cung cấp trong hộp văn bản
này Điều này chỉ mang tính chất nhận dạng, nó không phải một giá trị được sử dụng bởi hệ thống
Lookup domain Đây là tên miền của IP Allow List provider
Match any return code Tùy chọn này cho phép hệ thống so khớp
với bất cứ mã trạng thái địa chỉ IP nào
Trang 6Hình 4
IP Block List
Kích tùy chọn IP Block List trong panel giữa của giao diện điều khiển TMG firewall Khi đó bạn sẽ thấy xuất hiện hộp thoại IP Block List Kích tab Blocked Addresses Ở tab này bạn có thể kích nút Add để thêm một hoặc
nhiều địa chỉ mà bạn không bao giờ muốn nhận mail từ chúng Các thư từ các địa chỉ này sẽ bị khóa chặn
Trang 7Lưu ý rằng trong hộp thoại Blocked IP Address – IP Range bạn có thể
chọn:
Never let this address expire (không bao giờ hết hạn) hoặc
Block until date and time (khóa đến một thời điểm nào đó)
Đây là các tùy chọn rất hữu dụng nếu bạn muốn khóa tạm thời mail từ một dải địa chỉ nào, có thể do một hoạt động spam, tuy nhiên sau đó bạn lại muốn cho phép phân phối lại khi vấn đề đó đã được khắc phục
Hình 5
Kích tab Providers Tab Providers này có các tùy chọn tương tự như những
gì chúng ta đã thấy trong hộp thoại IP Allow List, các mục ở đây cũng được
thực hiện tương tự như vậy
Trang 8Hình 6
Hộp thoại IP List Provider cũng giống như những gì được cung cấp trong tùy chọn IP Allow List, hiển thị tên nhà cung cấp, hậu tố DNS, các cột trạng thái Để thêm vào một nhà cung cấp, bạn kích nút Add
Trang 9Hình 7
Nếu kích nút Error Messages, bạn sẽ thấy hộp thoại IP Block List
Provider Error Message Tính năng này không được minh chứng tài liệu
tại thời điểm này, tuy nhiên nó chính là tính năng cho phép tạo ra các thư lỗi
để gửi ngược trở về các nhà cung cấp mà bạn chặn thư của họ
Trang 10Hình 8 Bạn có thể sử dụng thư lỗi mặc định hoặc có thể tạo một thư nào đó tùy ý Nếu chọn tùy chọn sau, bạn cần phải đánh nội dung của thư vào hộp văn
này: một luôn luôn cho phép và một luôn luôn khóa khi từ khóa xuất hiện
Trang 11Hình 9 Điều gì sẽ xảy ra nếu bạn muốn nhận mail từ một số người gửi nào đó dù các thư của họ có chứa các từ khóa mà bạn chặn? Không vấn đề gì – bạn chỉ cần tạo một ngoại lệ
Kích tab Exceptions Khi kích nút Add, bạn có thể nhập vào hộp thoại Add E-mail address địa chỉ email cho người gửi mà bạn không muốn thư gửi đi
từ địa chỉ đó bị lọc
Trang 12từ Microsoft tại đây
Bạn có thể điều chỉnh ngưỡng hành động SCL sao cho phù hợp với những nhu cầu trong tổ chức mình Các ngưỡng ở đây là các giá trị SCL mà khi
Trang 13vượt qua ngưỡng đó, một hành động (xóa, loại bỏ hoặc cách ly) sẽ được mang ra thực thi
Ở đây bạn có ba tùy chọn quan trọng:
Delete messages that have an SCL rating great than or equal to (Xóa thư có giá trị SCL lớn hơn hoặc bằng)
Reject messages that have an SCL rating greater than or equal to (Loại bỏ thư có giá trị SCL lớn hơn hoặc bằng)
Quarantine messages that have an SCL rating great than or equal
to (Cách ly thư có giá trị SCL lớn hơn hoặc bằng)
Khi cho phép các tùy chọn này, giá trị mặc định sẽ là 9 Điều đó có nghĩa rằng hầu hết các thư đến trạm lọc Content Filtering sẽ đi qua và đến được hòm thư của người dùng Nếu, cho ví dụ, bạn thiết lập giá trị Delete là 7, khi
đó tất cả các thư có giá trị SCL bằng 7 hoặc cao hơn sẽ bị xóa
Khi thư bị xóa, hệ thống gửi sẽ không được cảnh báo Trong trường hợp loại
bỏ, Content Filter sẽ gửi một thông báo loại bỏ đến hệ thống gửi
Bạn cũng có một tùy chọn gửi các thư bị loại bỏ đến một địa chỉ mailbox
được cách lý (Quarantine mailbox address) Cần kiểm tra mailbox được
cách ly này một cách định kỳ và quyết định những gì mình cần thực hiện với các thư nằm ở đây
Trang 14Hình 11 Nếu một SCL của thư nào đó nằm dưới các giá trị thiết lập cho các ngưỡng Delete, Reject và Quarantine, thư này sẽ vẫn phải đi qua bộ lọc Junk mail,
bộ lọc này sẽ đưa tất cả các thư trong thư mục Junk Mail của người dùng vào nơi mà người dùng có thể xem lại chúng và quyết định liệu có cần đánh dấu chúng là “not junk” hay không Nếu giá trị SCL thấp hơn ngưỡng Junk mail, các thư đó sẽ đến thẳng hòm thư (Inbox) của người dùng
Bạn không thiết lập ngưỡng Junk Mail ở đây; tuy nhiên có thể thực hiện điều
đó với Set-Mailbox cmdlet trong Exchange Management Shell Để có thêm thông tin về Set-Mailbox cmdlet, bạn có thể tham khảo tại đây
Recipient Filtering
Trang 15Cũng có thể lọc mail bởi người nhận Kích tùy chọn Recipient Filtering
trong panel giữa của giao diện điều khiển firewall Khi đó bạn sẽ thấy xuất
hiện hộp thoại Recipient Filtering Kích tab Blocked Recipients Ở đây bạn có tùy chọn Block messages sent to recipients not listed in the Global Address List Tùy chọn này cho phép bạn ngăn phân phối đến các địa chỉ
chẳng hạn như administrator@yourdomain.com
Cũng có thể kích hoạt tùy chọn block the following recipients Tùy chọn
này cho phép bạn ngăn chặn mail bên ngoài đang được phân phối đến các địa chỉ nào đó mà theo yêu cầu họ chỉ được phép sử dụng bên trong tổ chức
Sau khi kích hoạt tùy chọn đó, bạn có thể kích nút Add để bổ sung địa chỉ
email của người nhận mà bạn muốn khóa
Hình 12
Trang 16Sender Filtering
Bạn có thể khóa mail dựa trên người gửi Sender Filter agent sử dụng tiêu đề MAIL FROM: SMTP để xác định xem thư nào cần khóa Bạn có thể khóa một người gửi, toàn bộ một miền hoặc các miền với tất cả miền con Cần lưu
ý rằng tiêu đề MAIL FROM: SMTP có thể bị giả mạo, vì vậy có thể ảnh hưởng đến kế hoạch lọc người gửi ở đây Bạn có thể sử dụng Sender ID (được thảo luận trong phần tiếp theo) để ngăn chặn mail giả mạo kiểu này
Kích tùy chọn Sender Filtering ở panel giữa của TMG firewall console Trong hộp thoại Sender Filtering, kích tab Blocked Senders Ở đây bạn có thể kích nút Add để mở hộp thoại Blocked sender Bạn có thể chọn nhập
vào địa chỉ của một người gửi nào đó, hoặc có thể khóa toàn bộ miền email
Hình 13
Trang 17Tab tab Action, khi đó bạn sẽ thấy có hai tùy chọn cho việc so khớp người
gửi:
Reject the message (Loại bỏ thư )
Stamp the message with blocked sender and continue processing (Dán tem cho thư của người gửi bị khóa và tiếp tục xử lý)
Tùy chọn thứ hai cho phép các thành phần khác trong giải pháp email tạo các quyết định dựa trên các thông tin của tiêu đề này Hành động đánh dấu thư đến từ người gửi bị khóa sẽ được sử dụng trong việc tính toán giá trị SCL
Hình 14
Sender ID
Trang 18Sender ID agent sử dụng tiêu đề RECEIVED SMTP để gửi một truy vấn đến DNS của hệ thống gửi nhằm thẩm định rằng địa chỉ IP mà thư được gửi đi từ
đó là xác thực đối với việc gửi mail từ một miền đã được liệt trong các tiêu
đề Chỉ có một vấn đề là các quản trị viên miền phải thiết lập các bản ghi SPF (sender policy framework) trên máy chủ DNS của họ Để tìm hiểu thêm
về cách sử dụng Sender ID, các bạn có thể tham khảo link này
Để cấu hình Sender ID, kích tùy chọn Sender ID ở panel giữa của giao diện điều khiển TMG firewall Kích tab Action Ở đây bạn sẽ có ba tùy chọn xảy
ra khi hành động kiểm tra Sender ID thất bại:
Reject message (Loại bỏ thư)
Stamp the message with Sender ID and continue processing (Dán tem và tiếp tục xử lý)
Delete message (Xóa thư)
Khi thư bị loại bỏ, nó sẽ gửi một lỗi SMTP đến máy chủ gửi thư Khi bạn chọn tùy chọn Delete, thư sẽ bị xóa mà không thông báo gì cho máy chủ gửi Trong trường hợp còn lại, thư được dán tem khi thất bại trong việc kiểm tra Sender ID, các thông tin đó sẽ được sử dụng bởi bộ lọc Junk Mail trong Outlook để tính toán giá trị SCL
Trang 19Hình 15
Sender Reputation
Danh tiếng của người gửi (Sender Reputation) sử dụng các thông tin được công bố về người gửi để tính toán giá trị Sender Reputation Level (SRL) Để
cấu hình Sender Reputation, kích tùy chọn Sender Reputation trong phần
panel giữa của giao diện điều khiển
Sender Reputation Level làm việc giống như Spam Confidence Level, trong
đó giá trị của người gửi được đặt từ 0 đến 9 và bạn có thể cấu hình ngưỡng
để khóa chặn mail vào tổ chức Người gửi được add vào danh sách Blocked Senders và bạn có thể cấu hình một khoảng thời gian nào đó cho việc duy trì người gửi này nằm trong danh sách
Trang 20Trong hộp thoại Sender Reputation trên tab Sender Confidence Ở đây bạn có tùy chọn Perform an open proxy test when determining sender confidence level
Đây là một tùy chọn khá thú vị Nó kết nối đến địa chỉ IP của người gửi bằng cách gửi đi một thư SMTP Nếu tường lửa TMG phát hiện rằng máy chủ SMTP sẽ cho phép nó gửi thư đến chính bản thân nó, khi đó máy chủ SMTP đang gửi là một SMTP relay để mở SMTP relay mở có thể được sử dụng bởi spammer nhằm gửi đi các spam email đến các miền email trên thế giới, và sẽ cắm cờ đỏ ngay lập tức về những gì đã xảy ra với các thư khi chúng đi ngang qua một máy chủ như vậy
Bạn sẽ thấy các SMTP relay để mở khi ai đó cấu hình lỗi một máy chủ, hoặc khi ai đó bị tiêm nhiễm malware và hành động như một SMTP relay Trong trường hợp đó, do không muốn nhận mail từ một SMTP relay để mở, vì vậy bạn nên kích hoạt tùy chọn này
Trang 21Hình 16 Trong cấu hình ngưỡng, thứ tốt nhất cần thực hiện là sử dụng các giá trị mặc định trước, sau đó tăng dần ngưỡng khóa theo thời gian cho tới khi bạn tới được điểm mà ở đó nhận thấy có nhiều sai lầm, lúc đó lại giảm dần giá trị xuống sao cho hợp lý nhất
Lưu ý rằng bạn cũng có thể tùy chỉnh hành động ngưỡng Threshold Action
Giá trị này cho phép bạn có thể cấu hình khóa một máy chủ SMTP bao lâu trước khi cho phép nhận mail từ nó trở lại Cách thức này cho phép bạn trở nên linh hoạt hơn vì thông thường các vấn đề đều mang tính tạm thời, bạn chắc chắn sẽ không muốn khóa vĩnh viễn một người gửi nào đó
Trang 22Hình 17
Kết luận
Trong phần ba của loạt bài này, chúng ta đã tìm hiểu về một số tùy chọn cấu hình có sẵn trong việc tinh chỉnh tính năng khóa spam Mặc dù vậy có nhiều tùy chọn, nhưng không phải tất cả trong chúng cần đến sự cấu hình Những tùy chọn thú vị và hữu dụng nhất là những tùy chọn có liên quan đến Sender Reputation, Recipient Filtering và Content Filtering Đa số các spam được gửi qua một máy chủ được nhiều người biết đến, vì vậy việc khóa mail dựa trên danh tiếng người gửi (sender reputation) là một phương pháp hết sức hữu dụng giúp bạn có thể giảm tới 95% lượng thư spam Recipient filtering cũng là một phương pháp khá hiệu quả, vì các spammer thường gửi đi một
số lượng lớn mail đến các địa chỉ không tồn tại trong tổ chức bạn Cuối
Trang 23cùng, tính năng lọc nội dung (content filtering) cho phép phân tích một cách tinh vi các thư với giá trị SCL được đưa vào sử dụng nhằm xác định xem liệu thư đó có phải là spam, đây là một phương pháp cực kỳ hữu dụng khi máy chủ gửi là một máy tính desktop đã bị chiếm quyền điều khiển và trở thành một phần của botnet Trong phần tiếp theo của loạt bài này, chúng tôi
sẽ giới thiệu cho các bạn về các tùy chọn lọc nội dung và virus